Let's Encrypt Zertifikate

Die Zertifizierungsstelle Let´s Encrypt bietet seit kurzem in einer öffentlichen BETA-Version kostenlose SSL-Zertifikate an. Anders als beim kostenlosen Dienst StartSSL hat Let´s Encrypt die Abläufe zum Erwerb des Zertifikates neu entwickelt. Resultierend hieraus ist ein neues Protokoll (ACME – Automated Certificate Management Environment) entstanden. Mit Hilfe eines Clients, der einmalig auf dem Webserver ausgeführt werden muss, ist es nun auch Laien möglich, Webdienste sehr einfach verschlüsselt anzubieten.

Let´s Encrypt wird von der Internet Security Research Group (ISRG) betrieben, die das Ziel verfolgt, technische und finanzielle Barrieren abzubauen, um die sichere Kommunikation über das Internet voranzutreiben. Viele Informationen werden immer noch unverschlüsselt übermittelt. Genau wie eine Postkarte, die durch die ganze Welt geschickt wird, ehe sie beim Empfänger ankommt, können diese auf dem gesamten Weg jederzeit mitgelesen werden. Die Verschlüsselung ist vielen nur von den Webseiten der Banken bekannt.

Der Praxistest

Ob es wirklich so einfach ist, HTTPS auf seinem Webserver umzusetzen, haben wir ausprobiert. Zu Testzwecken stand uns ein Ubuntu-Server mit installiertem Apache HTTP-Server in der Version 2.0 zur Verfügung. Bei der Installation sind wir wie folgt vorgegangen:

1. Installation von GIT auf dem Ubuntu-Server.
Befehlszeile:sudo apt-get install git-all
Die Installation muss auf Root-Ebene erfolgen und es sind Administrationsrechte notwendig. Es reicht nicht aus als Administrator angemeldet zu sein, das Administratorpasswort wird in der Installationsroutine abgefragt.
Die Installation dauert ca. 7 bis 10 Minuten.
Hilfestellung für die Installation anderer Linux-Varianten finden Sie unter folgendem Link: http://git-scm.com/download/linux.
2. Um Let´s Encrypt zu installieren, müssen nun folgende Befehle eingegeben werden:
Befehlszeile:git clone https://github.com/letsencrypt/letsencrypt
Befehlszeile:cd letsencrypt
3. Um den ACME-Client zu starten, ist folgender Befehl notwendig:
Befehlszeile:./lentsencrypt-auto
Sollten Sie in der APACHE-Konfigurationsdatei keinen Servernamen eingetragen haben, werden Sie darauf hingewiesen, bevor Sie die Installation starten können. Nach der Eingabe der Domain und einer Kontakt-E-Mail werden abschließend noch einige Informationen zur Zertifizierung abgefragt (Institution, Land, etc.).
4. Kontrolle der Internetseite mit dem SSL-Test von Qualys: https://www.ssllabs.com/ssltest/

Der Client bindet automatisch das Zertifikat von Let´s Encrypt ein, ist aber auch kompatibel zu allen Zertifikaten, die das Protokoll ACME unterstützen. Wir haben uns bewusst für die einfachste Methode der Installation entschieden, um den Installationsaufwand so gering wie möglich zu halten. Momentan steht der BETA-Client nur für APACHE-Server zur Verfügung, eine Version für andere Systeme soll folgen. Für Internetseitenbetreiber, die einen APACHE-Server einsetzen, gibt es nun keine Ausrede mehr keine Verschlüsselung einzusetzen.

Werden auch sie aktiv

Auch die Internetnutzer können die Verschlüsselung des Internetverkehrs unterstützen, indem sie zum Beispiel Plugins wie HTTPS-Everywhere installieren. Dieses Plugin hat zum Ziel, die Verbindung zu Internetseiten ausschließlich verschlüsselt aufzubauen.

Bildquellen

  • letsencrypt: Bildrechte beim BfD EKD